Corona-Kontaktverfolgung Softwarelücke entblößt 87.000 Adressdaten von Restaurantbesuchern

Um Corona-Kontakte nachzuverfolgen, müssen Restaurantbesucher ihre Daten teilweise online hinterlegen. Nun wurde ein Anbieter einer solchen Cloud-Lösung vom Chaos Computer Club gehackt. Auch Politiker sind betroffen.
Laut CCC nicht empfehlenswert: Im Restaurant Kontaktdaten per QR-Code in einer Cloud hinterlegen

Laut CCC nicht empfehlenswert: Im Restaurant Kontaktdaten per QR-Code in einer Cloud hinterlegen

Foto: ARUN SANKAR / AFP

Hacker des Chaos Computer Clubs (CCC) haben mehrere Schwachstellen in einer deutschen Cloud-Software für Restaurants entdeckt. Laut den IT-Experten waren mehr als 87.000 Datensätze von Besuchern in 180 Restaurants einsehbar. Die Besucher hatten ihre Adresse für die Corona-Kontaktverfolgung hinterlassen.

Die Hacker sollen zudem in der Lage gewesen sein, mehr als fünf Millionen Reservierungen auszulesen. Teilweise lagen die offenbar bis zu zehn Jahre zurück. Dabei konnten die Hacker offenbar auch Privatadressen von Politikern, die einen Tisch gebucht hatten, einsehen.

Der CCC teilte in einem Blog-Beitrag  am Freitag mit, dass die Software Gastronovi aus Bremen die Zugriffe von außen so schlecht geprüft habe, dass "im Handumdrehen administrativer Vollzugriff auf sämtliche im System gespeicherten Daten erlangt werden" konnte. Außerdem seien Passwörter im Klartext abgelegt worden und auch triviale Kennwörter wie "1234" erlaubt gewesen.

Reporter des "NDR" und "BR" hatten ebenfalls über die Schwachstellen berichtet und die Vorwürfe gegen die Entwickler mit Stichproben bestätigt. Laut dem Bericht  sind unter den Daten auch Reservierungen der Büros von Gesundheitsminister Jens Spahn und SPD-Generalsekretär Lars Klingbeil zu finden. Einige der Lücken seien so eklatant gewesen, wird eine Sprecherin des CCC zitiert, dass jeder Nutzer das hätte herausfinden können.

Software-Hersteller nimmt Restaurants in die Pflicht

Auf Anfrage des SPIEGEL teilte Gastronovi-Geschäftsführer Andreas Jonderko am Freitag mit: "Das Gastronovi-Entwicklerteam sowie Programmierer haben umgehend reagiert und die gefundenen Sicherheitslücken innerhalb weniger Stunden nach Erhalt des Berichts durch den CCC geschlossen." Ein unabhängiger Dienstleister habe das bestätigt. Außerdem seien alle Kunden und die Datenschutzbehörde informiert worden.

Allerdings wälzt Jonderko auch einen Teil der Verantwortung auf die Kunden ab. "Der Gastronom ist für die Einhaltung der Datenschutzrichtlinien und Löschpflichten selbst verantwortlich", teilt er mit. Um weitere Sicherheitslücken auszuschließen, sei das System einem Stresstest unterzogen worden, der eigentlich erst für den Herbst geplant gewesen sei.

Aufgrund der Corona-Pandemie werden derzeit in Cafés und Restaurants die Adressdaten von Gästen abgefragt, damit Gesundheitsämter mögliche Infektionsketten nachvollziehen können. Neben der Uhrzeit des Besuchs müssen die Gäste ihren Namen, ihre Anschrift, ihre Telefonnummer und eine E-Mail-Adresse angeben. Allein die Zettel sorgen bereits für genügend Beschwerden wegen Datenmissbrauch.

Doch in einer schlecht geschützten Cloud sind diese Daten noch viel anfälliger. Um die Adressdaten zu sammeln, setzt Gastronovi auf Online-Formulare anstelle von Zetteln. Per QR-Code gelangen die Gäste auf eine Website, wo sie ihre Kontaktdaten eintragen müssen. Die Daten werden in einer Cloud abgelegt, wo auch die monatlich rund 600.000 Reservierungen der Software gespeichert werden.

Laut CCC-Sprecher Linus Neumann seien viele digitale Corona-Listen "mit der heißen Nadel gestrickt" und die Datenschutzversprechen der Entwickler seien nur schwer zu halten. Daher empfiehlt der ansonsten digital ausgerichtete CCC den Restaurants, die Corona-Kontaktdaten lieber per Adresszettel abzufragen und nach der Frist zu vernichten. "Der Chaos Computer Club rät grundsätzlich von digitalen Corona-Listen ab", heißt es in dem Blogbeitrag . Vor allem dann, wenn die Daten in einer Cloud und nicht im Restaurant gespeichert werden.

Die Wiedergabe wurde unterbrochen.